ISO-IEC-27001-Lead-Auditor-KR 문제 76
시나리오 5: Data Grid Inc.는 전체 정보 기술 인프라에 보안 서비스를 제공하는 잘 알려진 회사입니다. 엔드포인트 보안, 방화벽, 바이러스 백신 소프트웨어를 포함한 사이버 보안 소프트웨어를 제공합니다. Data Grid Inc.는 20년 동안 다양한 회사가 고급 제품과 서비스를 통해 네트워크를 보호하도록 도왔습니다. 정보 및 네트워크 보안 분야에서 명성을 얻은 Data Grid Inc.는 내부 및 고객 자산을 보다 안전하게 보호하고 경쟁 우위를 확보하기 위해 ISO/IEC 27001 인증을 취득하기로 결정했습니다.
Data Grid Inc.는 감사 위임 조건에 동의한 감사팀을 임명했습니다. 또한 Data Grid Inc.는 감사 범위를 정의하고 감사 기준을 명시했으며 5일 이내에 감사를 마감할 것을 제안했습니다. 감사팀은 Data Grid Inc.가 5일 이내에 감사를 실시하겠다는 제안을 거부했습니다. 회사에는 직원이 많고 프로세스가 복잡하기 때문입니다. Data Grid Inc.는 5일 이내에 감사를 완료할 계획이라고 주장했기 때문에 양측은 정의된 기간 내에 감사를 실시하기로 합의했습니다. 감사팀은 위험 기반 감사 방식을 따랐습니다.
주요 비즈니스 프로세스와 통제에 대한 개요를 얻기 위해 감사팀은 프로세스 설명과 조직도에 접근했습니다. 그들은 IT 인프라와 애플리케이션에 대한 접근이 제한되어 IT 위험과 통제에 대한 심층 분석을 수행할 수 없었습니다. 그러나 감사팀은 대부분의 회사 프로세스가 자동화되었기 때문에 Data Grid Inc.의 ISMS에 중대한 결함이 발생할 위험이 낮다고 말했습니다. 따라서 그들은 Data Grid Inc.의 담당자에게 다음 질문을 하여 ISMS가 전체적으로 표준 요구 사항을 준수하는지 평가했습니다.
*IT 및 IT 통제에 대한 책임은 어떻게 정의되고 할당됩니까?
*Data Grid Inc.에서는 통제를 통해 원하는 결과가 달성되었는지 어떻게 평가합니까?
*Data Grid Inc.에서는 운영 환경과 데이터를 악성 소프트웨어로부터 보호하기 위해 어떤 제어 기능을 갖추고 있습니까?
*방화벽 관련 제어 기능이 구현되어 있습니까?
Data Grid Inc.의 대표자는 이러한 모든 질문에 답하기에 충분하고 적절한 증거를 제공했습니다.
감사팀장은 감사 결론을 초안하여 Data Grid Inc.의 최고 경영진에게 보고했습니다.
Data Grid Inc.는 감사원으로부터 인증을 권고받았지만, 감사 목표와 관련하여 Data Grid Inc.와 인증 기관 사이에 오해가 제기되었습니다. Data Grid Inc.는 감사 목표에 잠재적 개선 영역을 식별하는 것이 포함되어 있지만 감사팀은 그러한 정보를 제공하지 않았다고 말했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 5에 따르면 감사팀은 각 프로세스의 효과성과 적합성을 평가하는 대신 ISMS를 전체적으로 평가했습니다. 이것이 허용될 수 있을까요?
Data Grid Inc.는 감사 위임 조건에 동의한 감사팀을 임명했습니다. 또한 Data Grid Inc.는 감사 범위를 정의하고 감사 기준을 명시했으며 5일 이내에 감사를 마감할 것을 제안했습니다. 감사팀은 Data Grid Inc.가 5일 이내에 감사를 실시하겠다는 제안을 거부했습니다. 회사에는 직원이 많고 프로세스가 복잡하기 때문입니다. Data Grid Inc.는 5일 이내에 감사를 완료할 계획이라고 주장했기 때문에 양측은 정의된 기간 내에 감사를 실시하기로 합의했습니다. 감사팀은 위험 기반 감사 방식을 따랐습니다.
주요 비즈니스 프로세스와 통제에 대한 개요를 얻기 위해 감사팀은 프로세스 설명과 조직도에 접근했습니다. 그들은 IT 인프라와 애플리케이션에 대한 접근이 제한되어 IT 위험과 통제에 대한 심층 분석을 수행할 수 없었습니다. 그러나 감사팀은 대부분의 회사 프로세스가 자동화되었기 때문에 Data Grid Inc.의 ISMS에 중대한 결함이 발생할 위험이 낮다고 말했습니다. 따라서 그들은 Data Grid Inc.의 담당자에게 다음 질문을 하여 ISMS가 전체적으로 표준 요구 사항을 준수하는지 평가했습니다.
*IT 및 IT 통제에 대한 책임은 어떻게 정의되고 할당됩니까?
*Data Grid Inc.에서는 통제를 통해 원하는 결과가 달성되었는지 어떻게 평가합니까?
*Data Grid Inc.에서는 운영 환경과 데이터를 악성 소프트웨어로부터 보호하기 위해 어떤 제어 기능을 갖추고 있습니까?
*방화벽 관련 제어 기능이 구현되어 있습니까?
Data Grid Inc.의 대표자는 이러한 모든 질문에 답하기에 충분하고 적절한 증거를 제공했습니다.
감사팀장은 감사 결론을 초안하여 Data Grid Inc.의 최고 경영진에게 보고했습니다.
Data Grid Inc.는 감사원으로부터 인증을 권고받았지만, 감사 목표와 관련하여 Data Grid Inc.와 인증 기관 사이에 오해가 제기되었습니다. Data Grid Inc.는 감사 목표에 잠재적 개선 영역을 식별하는 것이 포함되어 있지만 감사팀은 그러한 정보를 제공하지 않았다고 말했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 5에 따르면 감사팀은 각 프로세스의 효과성과 적합성을 평가하는 대신 ISMS를 전체적으로 평가했습니다. 이것이 허용될 수 있을까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 77
시나리오 5: Data Grid Inc.는 전체 정보 기술 인프라에 보안 서비스를 제공하는 잘 알려진 회사입니다. 엔드포인트 보안, 방화벽, 바이러스 백신 소프트웨어를 포함한 사이버 보안 소프트웨어를 제공합니다. Data Grid Inc.는 20년 동안 다양한 회사가 고급 제품과 서비스를 통해 네트워크를 보호하도록 도왔습니다. 정보 및 네트워크 보안 분야에서 명성을 얻은 Data Grid Inc.는 내부 및 고객 자산을 보다 안전하게 보호하고 경쟁 우위를 확보하기 위해 ISO/IEC 27001 인증을 취득하기로 결정했습니다.
Data Grid Inc.는 감사 위임 조건에 동의한 감사팀을 임명했습니다. 또한 Data Grid Inc.는 감사 범위를 정의하고 감사 기준을 명시했으며 5일 이내에 감사를 마감할 것을 제안했습니다. 감사팀은 Data Grid Inc.가 5일 이내에 감사를 실시하겠다는 제안을 거부했습니다. 회사에는 직원이 많고 프로세스가 복잡하기 때문입니다. Data Grid Inc.는 5일 이내에 감사를 완료할 계획이라고 주장했기 때문에 양측은 정의된 기간 내에 감사를 실시하기로 합의했습니다. 감사팀은 위험 기반 감사 방식을 따랐습니다.
주요 비즈니스 프로세스와 통제에 대한 개요를 얻기 위해 감사팀은 프로세스 설명과 조직도에 접근했습니다. 그들은 IT 인프라와 애플리케이션에 대한 접근이 제한되어 IT 위험과 통제에 대한 심층 분석을 수행할 수 없었습니다. 그러나 감사팀은 대부분의 회사 프로세스가 자동화되었기 때문에 Data Grid Inc.의 ISMS에 중대한 결함이 발생할 위험이 낮다고 말했습니다. 따라서 그들은 Data Grid Inc.의 담당자에게 다음 질문을 하여 ISMS가 전체적으로 표준 요구 사항을 준수하는지 평가했습니다.
*IT 및 IT 통제에 대한 책임은 어떻게 정의되고 할당됩니까?
*Data Grid Inc.에서는 통제를 통해 원하는 결과가 달성되었는지 어떻게 평가합니까?
*Data Grid Inc.에서는 운영 환경과 데이터를 악성 소프트웨어로부터 보호하기 위해 어떤 제어 기능을 갖추고 있습니까?
*방화벽 관련 제어 기능이 구현되어 있습니까?
Data Grid Inc.의 대표자는 이러한 모든 질문에 답하기에 충분하고 적절한 증거를 제공했습니다.
감사팀장은 감사 결론을 초안하여 Data Grid Inc.의 최고 경영진에게 보고했습니다.
Data Grid Inc.는 감사원으로부터 인증을 권고받았지만, 감사 목표와 관련하여 Data Grid Inc.와 인증 기관 사이에 오해가 제기되었습니다. Data Grid Inc.는 감사 목표에 잠재적 개선 영역을 식별하는 것이 포함되어 있지만 감사팀은 그러한 정보를 제공하지 않았다고 말했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
인증기관과 Data Grid Inc. 사이의 오해를 예방하려면 어떻게 해야 할까요?
시나리오 5를 참조하세요.
Data Grid Inc.는 감사 위임 조건에 동의한 감사팀을 임명했습니다. 또한 Data Grid Inc.는 감사 범위를 정의하고 감사 기준을 명시했으며 5일 이내에 감사를 마감할 것을 제안했습니다. 감사팀은 Data Grid Inc.가 5일 이내에 감사를 실시하겠다는 제안을 거부했습니다. 회사에는 직원이 많고 프로세스가 복잡하기 때문입니다. Data Grid Inc.는 5일 이내에 감사를 완료할 계획이라고 주장했기 때문에 양측은 정의된 기간 내에 감사를 실시하기로 합의했습니다. 감사팀은 위험 기반 감사 방식을 따랐습니다.
주요 비즈니스 프로세스와 통제에 대한 개요를 얻기 위해 감사팀은 프로세스 설명과 조직도에 접근했습니다. 그들은 IT 인프라와 애플리케이션에 대한 접근이 제한되어 IT 위험과 통제에 대한 심층 분석을 수행할 수 없었습니다. 그러나 감사팀은 대부분의 회사 프로세스가 자동화되었기 때문에 Data Grid Inc.의 ISMS에 중대한 결함이 발생할 위험이 낮다고 말했습니다. 따라서 그들은 Data Grid Inc.의 담당자에게 다음 질문을 하여 ISMS가 전체적으로 표준 요구 사항을 준수하는지 평가했습니다.
*IT 및 IT 통제에 대한 책임은 어떻게 정의되고 할당됩니까?
*Data Grid Inc.에서는 통제를 통해 원하는 결과가 달성되었는지 어떻게 평가합니까?
*Data Grid Inc.에서는 운영 환경과 데이터를 악성 소프트웨어로부터 보호하기 위해 어떤 제어 기능을 갖추고 있습니까?
*방화벽 관련 제어 기능이 구현되어 있습니까?
Data Grid Inc.의 대표자는 이러한 모든 질문에 답하기에 충분하고 적절한 증거를 제공했습니다.
감사팀장은 감사 결론을 초안하여 Data Grid Inc.의 최고 경영진에게 보고했습니다.
Data Grid Inc.는 감사원으로부터 인증을 권고받았지만, 감사 목표와 관련하여 Data Grid Inc.와 인증 기관 사이에 오해가 제기되었습니다. Data Grid Inc.는 감사 목표에 잠재적 개선 영역을 식별하는 것이 포함되어 있지만 감사팀은 그러한 정보를 제공하지 않았다고 말했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
인증기관과 Data Grid Inc. 사이의 오해를 예방하려면 어떻게 해야 할까요?
시나리오 5를 참조하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 78
문장을 가장 잘 완성하는 단어를 선택하세요:
"관리 시스템에서 규정 준수를 유지하는 목적은 다음과 같습니다. 가장 적합한 단어로 문장을 완성하려면 빨간색으로 강조 표시된 완성하려는 빈 섹션을 클릭한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 해당 빈 섹션으로 옵션을 끌어서 놓을 수 있습니다.
"관리 시스템에서 규정 준수를 유지하는 목적은 다음과 같습니다. 가장 적합한 단어로 문장을 완성하려면 빨간색으로 강조 표시된 완성하려는 빈 섹션을 클릭한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 해당 빈 섹션으로 옵션을 끌어서 놓을 수 있습니다.
ISO-IEC-27001-Lead-Auditor-KR 문제 79
귀하는 클라이언트의 ISMS에 대한 제3자 감시 감사를 실시하고 있습니다. 귀하는 현재 데이터 센터의 안전한 보관 구역에 있으며, 조직의 고객은 사이트로 들어오거나 나가는 장비를 일시적으로 찾을 수 있습니다. 장비는 잠긴 캐비닛에 보관되어 있으며 각 캐비닛은 단일 특정 클라이언트에게 할당됩니다.
눈꼬치로 창고의 외부 문 근처에서 움직임이 보입니다. 그 후 큰 소리가 납니다. 가이드에게 무슨 일인지 묻습니다. 그들은 최근의 많은 비가 내려 지역 강 수위가 상승했고 쥐가 들끓었다고 말합니다. 소리는 전문 해충 구제 기절 장치가 작동되는 소리였습니다. 모서리에 있는 장치를 확인하니 그 안에 큰 움직이지 않는 쥐가 들어 있습니다.
다음으로 취해야 할 세 가지 조치는 무엇일까요?
눈꼬치로 창고의 외부 문 근처에서 움직임이 보입니다. 그 후 큰 소리가 납니다. 가이드에게 무슨 일인지 묻습니다. 그들은 최근의 많은 비가 내려 지역 강 수위가 상승했고 쥐가 들끓었다고 말합니다. 소리는 전문 해충 구제 기절 장치가 작동되는 소리였습니다. 모서리에 있는 장치를 확인하니 그 안에 큰 움직이지 않는 쥐가 들어 있습니다.
다음으로 취해야 할 세 가지 조치는 무엇일까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 80
시나리오 6: Sinvestment는 주택, 상업 및 생명 보험을 제공하는 보험 회사입니다. 이 회사는 노스캐롤라이나에서 설립되었지만 최근 유럽과 아프리카를 포함한 다른 지역으로 확장되었습니다.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
시나리오 6에 따르면, 마케팅 부서 직원들은 접근 제어 정책을 따르지 않았습니다.
이 경우 올바른 선택은 무엇입니까?
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
시나리오 6에 따르면, 마케팅 부서 직원들은 접근 제어 정책을 따르지 않았습니다.
이 경우 올바른 선택은 무엇입니까?